A Resposta a A Resposta a Incidentes no Incidentes no Processo de Processo de Desenvolvimento Desenvolvimento SeguroSeguro

Daniel Araújo Melo - daniel.melo@serpro.gov.br

1o. Fórum Brasil-Amazônia de TIC - 11/11/2011

AgendaAgenda

● Segurança em TIC

● Resposta a Incidentes

● Processo de Resposta a Incidentes

● Resposta a Ataques no SERPRO

HistóriaHistória

● 1996 –14.000 computadores conectados à Internet

● TCP - Principal Protocolo

● 1 de setembro – Phrack Magazine publica exploit que explora característica do Destinatário

● Destinatário aloca recursos ao receber (1)

A

Cliente

servidor

2

3

4

B

1SYN

SYN + ACK

ACK

ENVIO DE DADOS

Servidor

Ciclo de Vida das VulnerabilidadesCiclo de Vida das Vulnerabilidades

● Alguém descobre a vulnerabilidade;

● Atacantes analisam e produzem exploits;

● Ataques ocorrem;

● Defensores buscam correção;

● Soluções paliativas são propostas;

● Correção é publicada;

● Após alguns meses, malware é lançado.

Vulnerabilidades ReportadasVulnerabilidades Reportadas

1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 Q1-Q3, 20080

1000

2000

3000

4000

5000

6000

7000

8000

9000

Vulnerabilidades Reportadas ao Cert/CC

Vulnerabilidades ReportadasVulnerabilidades Reportadas

Fonte: IBM X-Force 2009 Trend and Risk Report

Quanto é muito?Quanto é muito?

● 3784 vulnerabilidades reportadas em 2003

● 3784 * 20 minutos para ler = 158 dias

● Supondo que você seja afetado por 10%

● 378 * 1 hora para instalar correção = 47 dias para instalar todas as correções em 1 sistema.

● Para ler notícias de segurança e corrigir 1 sistema

– 158 + 47 = 205 dias

Quanto é muito?Quanto é muito?

● Wietse Venema estima que em geral existe 1 falha de segurança por 1000 linhas de código

● Kernel Linux ultrapassou 13 milhões de linhas– http://www.h-online.com/open/features/What-s-new-in-Linux-2-6-36-1103009.html?page=6

● Um sistema desktop pode possuir mais de 100 milhões de linhas de código

● Necessários 20 anos para identificar todas as falhas de um sistema desktop;

● 10% a 15% das correções inserem novas vulnerabilidades.

Vulnerabilidades WEBVulnerabilidades WEB

Fonte: IBM X-Force 2009 Trend and Risk Report

Estatísticas 2011Estatísticas 2011

Novas Vulnerabilidades+

Nenhum mecanismo de segurança é 100% confiável!=

Incidentes de Segurança podem ocorrer...

CenárioCenário

Como responder a um Incidente?

Empiricamente percebe-se que:

Quanto mais ágil for a recuperação de um incidente, menor será o prejuízo.

Resposta a IncidentesResposta a Incidentes

● RFC 2350 – BCP 21

● Expectations for Computer Security Incident Response

Resposta a IncidentesResposta a Incidentes

● RFC 2350

● Expectations for Computer Security Incident Response

Resposta a IncidentesResposta a Incidentes

● RFC 2350

● Expectations for Computer Security Incident Response

Resposta a IncidentesResposta a Incidentes

● RFC 2350

● Expectations for Computer Security Incident Response

Programa CERTPrograma CERT

Programa CERTPrograma CERT

● Criado em 1988

● Motivação:

● Incidente com o Worm de Morris

● 10% da Internet foi afetada

● Explorava múltiplas vulnerabilidades

● Fianciado pela DARPA

● Defense Advanced Research Projects Agency

● CSIRT Handbook

● Computer Security Incident Response Team Handbook

http://en.wikipedia.org/wiki/Morris_worm

CERT.BRCERT.BR

● Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil

● Equipe de Resposta a Incidentes mantida pelo Comitê Gestor de Internet

CERT.BRCERT.BR

● Estatísticas

Estatísticas 2010Estatísticas 2010

Fonte: www.cert.br

Estatísticas 2010Estatísticas 2010

Fonte: www.cert.br

Csirts no BrasilCsirts no Brasil

Csirts no Mundo - FIRSTCsirts no Mundo - FIRST

Framework CsirtFramework Csirt

● Processo Genérico e Adaptável;

● Difundido mundialmente;

● Apresenta como estabelecer e manter uma equipe de resposta a incidentes

● Analogia com corpo de bombeiros

● Serviços que podem ser oferecidos

● 3 categorias

– Reativos– Proativos– Gestão de qualidade

ServiçosServiços

ServiçosServiços

ServiçosServiços

ServiçosServiços

Incident ManagementIncident Management

Processo de Resposta a IncidentesProcesso de Resposta a Incidentes

EquipeEquipe

Relações entre CSIRTsRelações entre CSIRTs

Relação entre missão e serviçosRelação entre missão e serviços

Modelos OrganizacionaisModelos Organizacionais

● Coordenação

● Ad-hoc

● Centralizado

● Distribuído

● Distribuído com Coordenação Centralizada

Integração com SDLCIntegração com SDLC

● Resposta a Incidentes fornece subsídios que podem ser utilizados no inicio do SDLC;

Base de Incidentese Vulnerabilidades

Base de Incidentese Vulnerabilidades

Resposta a IncidentesResposta a Incidentes Security SDLCSecurity SDLC

MicrosoftMicrosoft

IBMIBM

CERTCERT

Casos de Sucesso do SERPROCasos de Sucesso do SERPRO

● Sem infecções em larga escala desde Agobot (2005);

● Resistência ao Conficker;

● Resistência aos ataques de DDOS em 2011;

● Nenhuma invasão aos sítios desenvolvidos pelo SERPRO e sistemas críticos durante os ataques de 2011;

● Assinatura do IDS SNORT, capaz de detectar o Ultrasurf, distribuída na comunidade internacional;

Lição ImportanteLição Importante

O fator humano é fundamental.

Nenhuma tecnologia foi capaz de substituir o Analista

Obrigado!

daniel.melo@serpro.gov.br

BibliografiaBibliografia

● Secure Coding – Principles and Practices. Mark G. Graff, Kenneth Wyk. Editora O'reilly.

● CSIRT – Handbook - www.cert.org.